El equipo de inteligencia de amenazas de Wordfence escribió en su blog que reveló de manera responsable una vulnerabilidad de secuencias de comandos entre sitios (XSS) en el complemento LiteSpeed ​​Cache. Este es un complemento popular que se ha instalado en más de 4 millones de sitios web de WordPress. Esta vulnerabilidad permite a los piratas informáticos con privilegios de colaborador inyectar scripts maliciosos mediante códigos cortos.

LiteSpeed ​​​​Cache es un complemento que acelera los sitios web de WordPress con almacenamiento en caché y soporte de optimización a nivel de servidor. Este complemento proporciona un código corto que se puede usar para almacenar bloques usando la tecnología Edge Side cuando se agrega a WordPress.

Sin embargo, Wordfence dice que la implementación del código corto del complemento es insegura, lo que permite que se inserten scripts arbitrarios en estas páginas. Al probar el código vulnerable se muestra que el método de código corto no verifica adecuadamente las entradas y salidas. Esto permite a los actores de amenazas realizar ataques XSS. Cuando se incluye en una página o publicación, el script se ejecutará cada vez que un usuario lo visite.

Si bien la vulnerabilidad requiere una cuenta de colaborador comprometida o que un usuario se registre como colaborador, Wordfence dice que un atacante podría robar información confidencial, manipular el contenido del sitio web, atacar a los administradores, editar archivos o redirigir a los visitantes a sitios web maliciosos.

Wordfence afirmó haberse puesto en contacto con el equipo de desarrollo de LiteSpeed ​​​​Cache el 14 de agosto. El parche se implementó el 16 de agosto y se lanzó a WordPress el 10 de octubre. Los usuarios ahora deben actualizar LiteSpeed ​​​​Cache a la versión 5.7 para corregir por completo esta falla de seguridad. Aunque es peligroso, la protección contra secuencias de comandos entre sitios incorporada del firewall Wordfence ayudó a prevenir esta vulnerabilidad.